.PNG)
1Что за документ — методика оценки КЗИ
Методика оценки показателя состояния технической защиты информации — методический документ ФСТЭК России, утверждённый 11 ноября 2025 года. Это практическое руководство (разъяснения) к приказу ФСТЭК №117: как именно рассчитывать показатель защищенности КЗИ, какие данные собирать и какие документы готовить.
Методика vs Приказ
2Кто проводит оценку и как организовать процесс
Методика чётко определяет роли и ответственность при проведении оценки показателя защищенности КЗИ (п. 14, п. 21-22):
| Роль | Обязанности | Основание |
|---|---|---|
| Заместитель руководителя | Организует проведение оценки КЗИ | п. 14 Методики, Указ № 250 |
| Подразделение ИБ | Непосредственно проводит оценку, сбор и анализ данных | п. 14 Методики |
| Специалисты по сбору данных | Сбор документов, опросы, анализ средств защиты | п. 21, п. 24 Методики |
| Руководитель организации | Информируется о КЗИ < 1, принимает решения о мерах | п. 15 Методики |
Независимость оценки
Компетенции специалистов
Методика рекомендует назначать специалистов с 4 ключевыми компетенциями (п. 21):
Цели и задачи ИБ
Знание целей, задач и основ организации защиты информации
Знание ОРД
Знание состава и содержания организационно-распорядительных документов по ИБ
Процессы защиты
Знание процессов организации защиты информации и умение их внедрять
Методы и способы
Знание методов и способов защиты информации и умение их реализовывать
3Формула расчёта показателя КЗИ
Формула расчёта показателя защищенности КЗИ определена в п. 34 Методики:
Формула расчёта КЗИ (п. 34 Методики)
КЗИ = Σ(kji) × Rj
КЗИ = (k11+k12+k13)×R₁ + (k21+k22+k23+k24)×R₂ + (k31+...+k36)×R₃ + (k41+k42+k43)×R₄
Где kji — частные показатели безопасности (значения из Таблицы 1), а Rj — весовые коэффициенты групп. Каждый частный показатель принимает значение из таблицы (если мера реализована) или 0 (если не реализована или реализована неэффективно, п. 33).
4Весовые коэффициенты групп
Методика устанавливает 4 группы с различными весами, отражающими приоритеты ФСТЭК (Таблица 1):
0,10
Организация
R₁ — управление
0,25
Пользователи
R₂ — защита УЗ
0,35
Системы
R₃ — защита ИС
0,30
Мониторинг
R₄ — реагирование
Почему такие веса
Значения частных показателей
| Группа | Критерии | Значения kji | Макс. сумма |
|---|---|---|---|
| 1. Организация | k11, k12, k13 | 0,30 + 0,40 + 0,30 | 1,00 |
| 2. Пользователи | k21, k22, k23, k24 | 0,30 + 0,30 + 0,20 + 0,20 | 1,00 |
| 3. Системы | k31–k36 | 0,20 + 0,25 + 0,15 + 0,15 + 0,15 + 0,10 | 1,00 |
| 4. Мониторинг | k41, k42, k43 | 0,40 + 0,35 + 0,25 | 1,00 |
При полной реализации всех мер: КЗИ = 1,00 × 0,10 + 1,00 × 0,25 + 1,00 × 0,35 + 1,00 × 0,30 = 1,00 — минимальный базовый уровень.
5Шкала результатов — три уровня
Рассчитанный показатель КЗИ сравнивается с нормированным значением. Методика определяет три уровня состояния защищенности (Таблица 2, п. 36):
| Значение КЗИ | Уровень | Что это значит |
|---|---|---|
| КЗИ = 1 | Минимальный базовый (зелёный) | Обеспечивается минимальный уровень защиты от типовых актуальных угроз |
| 0,75 < КЗИ < 1 | Низкий (оранжевый) | Имеются предпосылки реализации актуальных угроз безопасности информации |
| КЗИ ≤ 0,75 | Критический (красный) | Имеется реальная возможность реализации актуальных угроз |
Обязательный план мероприятий
6Штрафные обнуления — когда КЗИ резко падает
Методика содержит два механизма обнуления, которые могут резко снизить показатель КЗИ:
1. Повторное невыполнение (п. 35)
Если при очередной оценке фиксируется повторное (в течение 12 месяцев) невыполнение мер по частному показателю kji — весовой коэффициент всей группы Rj обнуляется. Это значит, что вся группа критериев перестаёт вносить вклад в КЗИ.
Если при очередном расчете показателя защищенности КЗИ фиксируется повторное (в течении 12 месяцев) невыполнение мер, предусмотренных частным показателем безопасности kji, весовому коэффициенту этой группы показателей Rj присваивается значение 0.
2. Результаты пентеста (п. 170 примечание к Таблице 1)
Получен доступ через учётные записи → R₂ = 0
Если при пентесте получен первоначальный доступ через УЗ пользователей — обнуляется вся группа «Защита пользователей»
Получен доступ через уязвимости ПО → R₃ = 0
Если при пентесте использованы уязвимости программного обеспечения — обнуляется вся группа «Защита информационных систем»
Реализованы недопустимые события → R₂ = 0 и R₃ = 0
Если подтверждена возможность реализации недопустимых событий — обнуляются обе группы
7Внеочередная оценка — когда проводить досрочно
Помимо плановой оценки каждые 6 месяцев, Методика предусматривает внеочередную оценку в 4 случаях (п. 19):
Значимый инцидент ИБ
Инцидент, повлёкший наступление негативных последствий
Изменение архитектуры ИС
Развитие или изменение архитектуры информационных систем
Запрос руководителя
Руководитель организации запрашивает текущее значение КЗИ
Запрос ФСТЭК России
ФСТЭК направляет запрос о текущем состоянии защищенности
8Что делать при КЗИ ниже 1
Если показатель не соответствует нормированному значению, Методика определяет конкретный порядок действий (п. 18, п. 37):
- Определить на основе частных показателей kji, какие меры не реализованы или реализованы неэффективно
- Установить приоритетность реализации мер — в первую очередь закрывать критерии с наибольшим весом (группы R₃ и R₄)
- Разработать план мероприятий по достижению следующего уровня защиты
- Уложиться в срок — план должен быть реализован до следующей плановой оценки (не более 6 месяцев)
- Провести повторную оценку и направить результаты в ФСТЭК России
Рекомендация
Эта статья подготовлена командой КРЕДО-С в рамках проекта по приказу ФСТЭК №117. Используйте наш бесплатный калькулятор КЗИ для расчёта показателя защищённости, а также ознакомьтесь с полным руководством по 117 приказу ФСТЭК.
Дмитрий Колесник
Директор по информационной безопасности
CISO КРЕДО-С. С 2010 года консультирует органы власти и крупнейшие предприятия по защите информации.